Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
PostgreSQL
(7.3, 7.3.10, 7.4, 7.4.7, 8.0, 8.0.1)
Описание
Переполнение буфера в модуле gram.y в PostgreSQL может позволить злоумышленникам, действующим удаленно, выполнить произвольный код, если передать большое количество аргументов функции refcursor (модуль gram.y), что приводит к переполнению буфера в динамической памяти.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.postgresql.org/
http://www.postgresql.org/
Ссылки
MLIST ([pgsql-patches] 20050120 Re: WIP: pl/pgsql cleanup): http://archives.postgresql.org/pgsql-patches/2005-01/msg00216.php
MLIST ([pgsql-committers] 20050121 pgsql: Prevent overrunning a heap-allocated buffer is more than 1024): http://archives.postgresql.org/pgsql-committers/2005-01/msg00298.php
MLIST ([pgsql-committers] 20050207 pgsql: Prevent 4 more buffer overruns in the PL/PgSQL parser.): http://archives.postgresql.org/pgsql-committers/2005-02/msg00049.php
DEBIAN (DSA-683): http://www.debian.org/security/2005/dsa-683
MANDRAKE (MDKSA-2005:040): http://www.mandrakesoft.com/security/advisories?name=MDKSA-2005:040
REDHAT (RHSA-2005:138): http://www.redhat.com/support/errata/RHSA-2005-138.html
REDHAT (RHSA-2005:150): http://www.redhat.com/support/errata/RHSA-2005-150.html
BUGTRAQ (20050210 [USN-79-1] PostgreSQL vulnerabilities): http://marc.theaimsgroup.com/?l=bugtraq&m=110806034116082&w=2
XF (postgresql-cursor-bo(19188)): http://xforce.iss.net/xforce/xfdb/19188
SUSE (SUSE-SA:2005:036): http://www.novell.com/linux/security/advisories/2005_36_sudo.html
BID (12417): http://www.securityfocus.com/bid/12417
MLIST ([pgsql-committers] 20050121 pgsql: Prevent overrunning a heap-allocated buffer is more than 1024): http://archives.postgresql.org/pgsql-committers/2005-01/msg00298.php
MLIST ([pgsql-committers] 20050207 pgsql: Prevent 4 more buffer overruns in the PL/PgSQL parser.): http://archives.postgresql.org/pgsql-committers/2005-02/msg00049.php
DEBIAN (DSA-683): http://www.debian.org/security/2005/dsa-683
MANDRAKE (MDKSA-2005:040): http://www.mandrakesoft.com/security/advisories?name=MDKSA-2005:040
REDHAT (RHSA-2005:138): http://www.redhat.com/support/errata/RHSA-2005-138.html
REDHAT (RHSA-2005:150): http://www.redhat.com/support/errata/RHSA-2005-150.html
BUGTRAQ (20050210 [USN-79-1] PostgreSQL vulnerabilities): http://marc.theaimsgroup.com/?l=bugtraq&m=110806034116082&w=2
XF (postgresql-cursor-bo(19188)): http://xforce.iss.net/xforce/xfdb/19188
SUSE (SUSE-SA:2005:036): http://www.novell.com/linux/security/advisories/2005_36_sudo.html
BID (12417): http://www.securityfocus.com/bid/12417